
Pf^T 1 WELTORGANISATION FOR GEISTIGES EIGENTUM 

A Inter nation ales Buro 

INTERNATIONALE ANMELDUNG VEROFFENTLICHT NACH DEM VERTRAG tJBER DIE 
INTERNATIONALE ZUSAMMENARBEIT AUF DEM GEBIET DES PATENTWESENS (PCT) 



(51) Internationale Patcntklassifikation 7 
H04L 9/32 



Al 



(11) Internationale Veroffentlichungsnummer: WO 00/27070 

11. Mai 2000 (11.05.00) 



(43) Internationales 

Veroffentlichungsdatum 



(21) Internationales Aktenzeichen: PCT/DE99/03262 

(22) Internationales Anmeldedatum: 11. Oktober 1999 (1 1.10.99) 



(30) Prioritatsdaten: 
198 50 665.1 



3. November 1998 (03.1 1.98) DE 



(71) Anmelder (fur alle Bestimmungsstaaten ausser US): SIEMENS 

AKTIENGESELLSCHAFT [DE/DE]; Wittelsbacherplatz 2, 
D-80333 Munchen (DE). 

(72) Erfinder; und 

(75) Erfinder/Anniclder (nur fur US): EUCHNER, Martin 
[DE/DE]; Lorenzstr. 2, D-81737 Munchen (DE). 

(74) Gcmeinsamer Vertreter: SIEMENS AKTIENGE- 

SELLSCHAFT; Postfach 22 16 34, D-80506 MUnchen 
(DE). 



(81) Bestimmungsstaaten: CN, JP, US, europaisches Patent (AT, 
BE, CH, CY, DE, DK, ES, FI, FR, GB, GR, IE, IT, LU, 
MC, NL, PT, SE). 



VerdfTentlicht 

Mit internationalem Recherchenbericht. 

Vor Ablauf der fur Anderungen der Anspruche zugelassenen 

Frist; Veroffentlichung wird wiederholt falls Anderungen 

eintreffen. 



(54) Title: METHOD AND ARRAY FOR AUTHENTICATING A FIRST INSTANCE AND A SECOND INSTANCE .-^^ 

(54) Bezeichnung: VERFAHREN UND ANORDNUNG ZUR AUTHENTIFIKATION VON EINER ERSTEN INSTANZ UND EINER 
ZWEITEN INSTANZ 



101 



102 



Entity A 



103 



Entity B 



wahle zufalliges x 
mod p-1 



104 



g, p, fy, IPa. 9* mod H(g x mod p, pw, ID/v, Ta, ...)| 



105 



108 
-4- 



107 



wahle zutitiiges y 
mod p-1 



TB, IDb, oVmod p, HCgYmod p, pw, 1D B , Tg, ...) 



key^gXYmod p 



106 
4 



key^p/ymod p 
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(57) Abstract 



In order to authenticate a first instance during a second instance, a first number is produced by means of an asymmetric encryption 
method. Said first number is symmetrically encrypted and transmitted to the second instance. The second instance checks the first number 
by decoding the second number thereby authenticating the first instance. 

(57) Zusammenfassung 

Urn eine erste Instanz bei einer zweiten Instanz zu authentifizieren, wird mittels eines asymmetrischen Kryptoverfahrens eine erste 
Zahl erzeugt. Diese erste Zahl wird symmetrisch verschlusselt und an die zweite Instanz ubertragen. Die zweite Instanz uberpruft die erste 
Zahl durch Entschlusselung der zweiten Zahl und authentifiziert damit die erste Instanz. 
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Beschreibung 

Verfahren und Anordnung zur Authentif ikation von einer ersten 
Instanz und einer zweiten Instanz 

5 

Die Erfindung betrifft ein Verfahren und eine Anordnung zur 
Authentif ikation einer ersten Instanz mit einer zweiten 
Instanz und/oder umgekehrt. 

10 Im Rahmen einer Authentif ikation (auch: Authentif izierung) 
erklart eine erste Instanz gegenuber einer zweiten Instanz 
verlafilich, daft sie auch tatsachlich die erste Instanz ist. 
Entsprechend ist bei der Ubermittlung von ( vertraulichen) 
Daten sicherzustellen, von wem diese tatsachlich stammen. 

15 

Ein symmetrisches Verschliisselungsverf ahren ist aus [1] 
bekannt. Bei dem symmetrischen Verschlusselungsverf ahren wird 
ein Schlussel sowohl fur die Ver- als auch fur die 
Entschlusselung verwendet . Ein Angreifer, der in den Besitz 

20 solch eines Schlussels kommt, kann einen Klartext (die zu 

verschlusselnde Information) in Schlusseltext und umgekehrt 
trans formieren . Das symmetrische Verschlusselungsverf ahren 
heifit auch Private-Key-Verf ahren oder Verfahren mit geheimem 
Schlussel. Ein bekannter Algorithmus zur symmetrischen 

25 Verschlusselung ist der DES-Algorithmus (Data Encryption 

Standard) . Er wurde im Jahre 1974 standardisiert unter ANSI 
X3. 92-1981. 

Ein asymmetrisches Verschliisselungsverf ahren ist aus [2] 
30 bekannt. Dabei ist einem Teilnehmer nicht ein einzelner, 

sondern ein Schlusselsystem aus zwei Schlusseln zugeordnet: 
Mit dem einen Schlussel wird die Abbildung des Klartext in 
eine transf ormierte Form bewirkt, der andere Schlussel 
ermoglicht die inverse Operation und uberfiihrt den 
35 transf ormierten Text in Klartext. Solch ein Verfahren heifit 
asymmetrisch, weil beide Seiten, die an einer 
kryptographischen Operation beteiligt sind, verschiedene 
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Schlussel (eines Schlusselsystems) einsetzen. Einer der 
beiden Schlussel, z.B. ein Schlussel p, kann offentlich 
bekannt gemacht werden, wenn folgende Eigenschaf ten erftillt 



sind: 



Es 1st nicht mit vertretbarem Aufwand moglich, aus dem 
Schlussel p einen zur inversen Operation notwendigen 
geheimen Schlussel s abzuleiten. 
- Selbst wenn Klartext mit dem (of f entlichen) Schlussel 
P transformiert wird, ist es nicht moglich, daraus den 
(geheimen) Schlussel s abzuleiten. 

Aus diesem Grund heiftt das asymmetrische Verschlusselungs- 
verfahren auch mit einem offentlich bekanntmachbaren 
Schlussel p Public-Key-Verf ahren. 

Grundsatzlich ist es moglich, den geheimen Schlussel s aus 
dem offentlichen Schlussel p herzuleiten. Dies wird jedoch 
insbesondere dadurch beliebig aufwendig, daft Algorithmen 
gewahlt werden, die auf Problemen der Komplexitatstheorie 
beruhen. Man spricht bei diesem Algorithmen auch von 
sogenannten "one-way-trapdoor"-Funktionen. Ein bekannter 
Vertreter fur ein asymmetrisches Verschlusselungsverf ahren 
ist das Diffie-Hellman-Verfahren [6]. Dieses Verfahren lafit 
sxch insbesondere zur Schlusselverteilung (Dif f ie-Hellman key 
agreement, exponential key exchange) einsetzen. 

Unter dem Begriff Verschlusselung wird die allgemeine 
Anwendung eines kryptographischen Verfahrens V(x,k) 
verstanden, bei dem ein vorgegebener Eingabewert ' x (auch 
Klartext genannt) mittels eines Geheimnisses k (Schlussel) in 
emen Chiffretext c := V(x,k) uberfuhrt wird. Mittels eines 
mversen Entschlusselungsverf ahrens kann durch Kenntnis von c 
und k der Klartext x rekonstruiert werden. Unter dem Begriff 
Verschlusselung versteht man auch eine sogenannte Einweg- 
Verschlusselung mit der Eigenschaft, daft es kein inverses 
effizient berechenbares Entschlusselungsverf ahren gibt 
Beispiele fur solch ein Einweg-Verschlusselungsverf ahren ist 
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eine kryptographische Einwegf unktion bzw. eine 
kryptographische Hashf unktionen, beispielsweise der 
Algorithmus SHA-1, siehe [4]. 

5 Nun besteht in der Praxis das Problem, dafi sichergestellt 
sein muft, dafi ein offentlicher Schlussel, der zur 
Verifikation einer elektronischen Unterschrift eingesetzt 
wird, tatsachlich der offentliche Schlussel dessen ist, von 
dem man annimmt, daft er der Urheber der tibermittelten Daten 

10 ist (Gewahrleistung der Authentizitat des Urhebers) . Somit 
rnufi der offentliche Schlussel zwar nicht geheimgehalten 
werden, aber er mufi authentisch sein. Es gibt bekannte 
Mechanismen (siehe [3]), die mit viel Aufwand sicherstellen, 
dali die Authentizitat gewahrleistet ist. Ein solcher 

15 Mechanismus ist die Einrichtung eines sogenannten 

Trustcenters, das Vertrauenswurdigkeit genieflt und mit dessen 
Hilfe eine allgemeine Authentizitat sichergestellt wird. Die 
Errichtung eines solchen Trustcenters und die Verteilung der 
Schlussel von diesem Trustcenter aus sind jedoch uberaus 

20 aufwendig. Beispielsweise muJi bei der Schlusselvergabe 

sichergestellt sein, dali auch wirklich der Adressat und kein 
potentieller Angreifer den Schlussel bzw. die Schlussel 
erhalt. Dementsprechend hoch sich die Kosten fur Einrichtung 
und Betrieb des Trustcenters. 

25 

Die Aufgabe der Erfindung besteht darin, eine 
Authentif ikation sicherzustellen, wobei kein gesonderter 
Aufwand fur eine Zertif izierungsinstanz oder ein Trustcenter 
investiert werden mufi . 

30 

Diese Aufgabe wird gemaft den Merkmalen der unabhangigen 
Patentanspruche gelost. Weiterbildungen der Erfindung ergeben 
sich auch aus den abhangigen Anspruchen. 



35 



Zur Losung der Aufgabe wird ein Verfahren zur 

Authentif ikation von einer ersten Instanz mit einer zweiten 

Instanz angegeben, bei dem von der ersten Instanz eine 
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Operation A(x,g) auf einem (offentlich) vorgegebenen 
bekannten Wert g und einem nur der ersten Instanz bekannten 
Wert x durchgefuhrt wird. Das Ergebnis der ersten Operation 
wird mit einem der ersten und der zweiten Instanz bekannten 
ersten Schlussel verschlusselt . Das mittels des ersten 
Schlussels verschliisselte Ergebnis der ersten Operation wird 
von der ersten Instanz zu der zweiten Instanz ubermittelt. 

Hierbei ist es besonders vorteilhaft, daft ein symmetrisches 
Verfahren eingesetzt wird, urn eine Authentizitat einer 
Instanz gegeniiber einer weiteren Instanz herzustellen . Diese 
Authentizitat wird bewirkt ohne Einrichtung einer gesonderten 
Zertifizierungsinstanz oder eines Trustcenters . 

Eine Ausgestaltung besteht darin, daft die erste Operation 
A(x,g) ein asymmetrisches Kryptoverf ahren ist. Insbesondere 
kann die erste Operation auf einer beliebigen endlichen und 
zyklischen Gruppe G durchgefuhrt werden. 

Eine weitere Ausgestaltung besteht darin, daft die erste 
Operation A(x,g) eine Dif f ie-Hellman-Funktion G(g X ) ist. 
Alternativ kann die erste Operation auch eine RSA-Funktion x g 
sein . 

Eine Weiterbildung besteht darin, daft die Gruppe G eine der 
folgenden Gruppen ist: 

a) eine multiplikative Gruppe F* eines endlichen 
Korpers F q , insbesondere mit 

o einer multiplikativen Gruppe Z* der ganzen 
Zahlen modulo einer vorgegebenen Primzahl p; 

° einer multiplikativen Gruppe F t * mit t = 2 m iiber 
einem endlichen Korper F t der Charakteristik 2; 

° einer Gruppe der Einheiten Z* mit n als einer 
zusammengesetzten ganzen Zahl; 

b) eine Gruppe von Punkten auf einer elliptischen Kurve 
iiber einem endlichen Korper; 
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c) eine Jacobivariante einer hyperelliptischen Kurve liber 
einem endlichen Korper. 

Eine andere Weiterbildung besteht darin, daft das Ergebnis der 
ersten Operation ein zweiter Schlussel ist, mit dem die erste 
Instanz zur Wahrnehmung eines Dienstes auf der zweiten 
Instanz autorisiert wird. 



Eine zusatzliche Ausgestaltung besteht darin, daft der zweite 
10 Schlussel ein sogenannter "Sessionkey" oder eine an eine 
Applikation gebundene Berechtigung ist. 

Auch ist es eine Weiterbildung, daft der zweite Schlussel 
bestimmt wird zu 



15 



G(g Xy ) 



indem von der zweiten Instanz eine Operation G(g Y ) mit einer 
nur ihr bekannten geheimen Zahl y durchgefuhrt wird. Das 
20 Ergebnis dieser zweiten Operation wird mit dem ersten 

Schlussel verschlusselt und an die erste Instanz ubermittelt , 

Eine zusatzliche Weiterbildung besteht darin, daft zur 
Generierung des zweiten Schlussels das Dif f ie-Hellmann- 
25 Verfahren eingesetzt wird. 

Eine andere Ausgestaltung besteht darin, daft die 
Verschlusselung mit dem ersten Schlussel anhand einer 
Einwegf unktion, insbesondere einer kryptographischen 

30 Einwegfunktion durchgefuhrt wird. Eine Einwegf unktion 

zeichnet sich dadurch aus, daft sie in einer Richtung leicht 
zu berechnen, ihre Invertierung aber nur mit so groftem 
Aufwand machbar ist, daft diese Moglichkeit in der Praxis 
vernachlassigt werden kann. Ein Beispiel fur solch eine 

35 Einwegfunktion ist eine kryptographische Hashf unktion, die 
aus einer Eingabe A eine Ausgabe B erzeugt. Anhand der 
Ausgabe B kann nicht auf die Eingabe A ruckgeschlossen 
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werden, selbst wenn der Algorithmus der Hashf unktion bekannt 
ist . 

Auch ist es eine Weiterbildung, daft die Verschliisselung, die 
mit dem ersten Schlussel durchgefuhrt wird, einem 
symmetrischen Verschliisselungsverf ahren entspricht. 

Schliefilich ist es eine Weiterbildung, daft die ubermittelten 
Daten vertrauliche Daten sind. 

Weiterhin wird zur Losung der Aufgabe eine Anordnung zur 
Authentif ikation angegeben, bei der eine Prozessoreinheit 
vorgesehen ist, die derart eingerichtet ist, dafi 

a) von einer ersten Instanz eine erste Operation A(x,g) 
auf einem vorgegebenen bekannten Wert g und einem nur 
der ersten Instanz bekannten Wert x durchfuhrbar ist; 

b) bei dem das Ergebnis der ersten Operation mit einem 
der ersten und einer zweiten Instanz bekannten ersten 
Schlussel verschliisselbar ist; 

c) bei dem das mit dem ersten Schlussel verschlusselte 
Ergebnis der ersten Operation von der ersten Instanz 
zu der zweiten Instanz ubermittelbar ist; 

d) bei dem von der zweiten Instanz mit dem ersten 
Schlussel das Ergebnis der ersten Operation 
entschlusselt wird und somit die erste Instanz 
authentif izierbar ist. 

Diese Anordnung ist insbesondere geeignet zur Durchfiihrung 
des erfindungsgemafcen Verfahrens oder einer seiner vorstehend 
erlauterten Weiterbildungen . 

Ausfuhrungsbeispiele der Erfindung werden nachfolgend anhand 
der Zeichnung dargestellt und erlautert. 
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Es zeigen 

Fig.l eine Skizze zur Vereinbarung eines gemeinsamen 
Schlussels zwischen zwei Instanzen, deren jede 
5 Authentizitat jeweils sichergestellt ist; 

Fig. 2 eine Skizze gemaii Fig.l unter Einsatz des DES- 
Algorithmus; 

10 Fig. 3 eine Prozessoreinheit . 



In Fig.l ist eine Skizze dargestellt zur Vereinbarung eines 
gemeinsamen Schlussels zwischen zwei Instanzen, deren jede 
15 Authentizitat jeweils sichergestellt ist. Eine Instanz A 101 
wahlt eine zufallige Zahl x in einem Korper "mod p-1" (siehe 
Block 103) . Nun wird von der Instanz 101 an eine Instanz 102 
eine Nachricht 104 geschickt, die folgendes Format aufweist: 

20 g, p, T A , ID A , g X mod p, H(g X mod p, PW, ID A , T A , . . . ) , 

wobei 

x einen geheimen Zufallswert der Instanz A 101, 

y einen geheimen Zufallswert der Instanz B 102, 

2 5 g einen Generator nach dem Dif f ie-Hellman- 

Verf ahren, 

p eine Primzahl fur das Dif f ie-Hellman- 

Verf ahren, 

T A einen Zeitstempel der Instanz A beim Erzeugen 

30 bzw. Absenden der Nachricht, 

T B einen Zeitstempel der Instanz B beim Erzeugen 

bzw. Absenden der Nachricht, 
IDA ein Identif ikationsmerkmal der Instanz A, 

ID B ein Identif ikationsmerkmal der Instanz B, 

35 9 mod p ein offentlicher Dif f ie-Hellman-Schlussel der 

Instanz A, 
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ein offentlicher Dif f ie-Hellman-Schlussel der 
Instanz B, 

ein gemeinsames Geheimnis zwischen den 
Instanzen A und B (Paftwort, "shared secret"), 
eine kryptographische Einwegf unktion 
(Hashf unktion) liber die Parameter M, 
ein beiden Instanzen A und B gemeinsamer 
Sessionkey . 

10 bezeichnen. 1st diese Nachricht bei der Instanz 102 

angekommen, wird dort (siehe Block 105) eine zufallige Zahl y 
aus dem Korper "mod p-1" gewahlt und in einem Block 106 ein 
gemeinsamer Schlussel vereinbart zu 

15 KEY = g Xy mod p. 

Die zweite Instanz 102 ubermittelt eine Nachricht 107 mit dem 
Format 

20 T B , ID B , g Y mod p, H(g y mod p, PW, ID B , T B , . . . ) 

an die erste Instanz 101. Die erste Instanz 101 wird 
daraufhin in einem Schritt 108 die Operation 

2 5 KEY = g Xy mod p 

aus, woraus sich ebenfalls der gemeinsame Schlussel KEY 
ergibt . 

30 Hierbei sei ausdrilcklich angemerkt, dafi beispielhaft der 
Korper "mod p-1" als eine von vielen Moglichkeiten 
herausgegrif fen wurde. Ferner werden die Nachrichten 104 und 
107 als jeweils eine Moglichkeit von vielen angesehen. 
Insbesondere sind die zur Adressierung angefiihrten Felder 

35 innerhalb der Nachrichten abhangig von der Applikation bzw. 
dem verwendeten Ubertragungsprotokoll . 



g mod p 



PW 



H(M) 



KEY 
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In Fig.l wird eine kryptographische Einweg-Hashf unktion H 
verwendet. Ein Beispiel zur Ubermittlung einer solchen 
Einweg-Hashfunktion ist der SHA-1 -Algorithmic (vergleiche 
[4]). Der Einsatz eines symmetrischen 

Verschlusselungsverfahrens, z.B. des DES-Algorithmus [5], 
anstatt der Einweg-Hashf unktion H, wird in Fig. 2 dargestellt 
Die Blocke 101, 102, 103, 105, 106 und 108 sind in Fig. 2 
identisch zu Fig.l. Die von der ersten Instanz 101 an die 
zweite Instanz 102 ubertragene Nachricht 201 hat das Format 

<3, Pr T A , ID A , g X mod p, ENC PW (g X mod p, PW, 

ID Af T A/ . . . ) , 

wobei 

15 ENCpw(M) ein symmetrisches Verfahren zur 

Verschliisselung des Parameters M mit dem 
Schliissel PW 

bezeichnet . 



10 



20 



25 



30 



35 



In umgekehrter Richtung wird von der Instanz 102 an die 
Instanz 101 in Fig. 2 die Nachricht 202 verschickt, die 
folgendes Format aufweist: 

Tb/ ID B , g Y mod p, ENC PW (g y mod p, PW, ID B , T B , - . . ) . 

Hierbei sei insbesondere vermerkt, daft jeweils eine Nachricht 
(in Fig.l die Nachricht 104 bzw. in Fig. 2 die Nachricht 201) 
ausreicht, urn die erste Instanz 101 gegenuber der zweiten 
Instanz 102 zu authentif izieren . Sieht man davon ab, daft sich 
auch die zweite Instanz 102, beispielsweise ein 
wahrzunehmender Dienst innerhalb einer Net zwerkverbindung, 
z.B. dem Internet, authentif izieren muJJ, so kann es 
ausreichen, wenn lediglich die erste Instanz 101 sich 
authentif iziert. Dies ist bereits nach Ubertragung der 
jeweils ersten Nachrichten 104 und 201 gegeben. Wahlt sich 
insbesondere die erste Instanz 101 bei der zweiten Instanz 
102 ein, so ist haufig davon auszugehen, dali diese zweite 
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Instanz 102 auch die richtige Instanz ist. Umgekehrt mufi die 
zweite Instanz 102 davon ausgehen konnen, dali der Anrufer 
(die erste Instanz 101) auch der ist, fur den er sich 
ausgibt . ' Somit ist in dieser Richtung, von der ersten Instanz 
5 101 zur zweiten Instanz 102, die Priifung der Authentizitat 
wichtig . 

In Fig. 3 ist eine Prozessoreinheit PRZE dargestellt. Die 
Prozessoreinheit PRZE umfalit einen Prozessor CPU, einen 

10 Speicher SPE und eine Input /Output-Schnittstelle IOS, die 
uber ein Interface IFC auf unterschiedliche Art und Weise 
genutzt wird: Uber eine Graf ikschnittstelle wird eine Ausgabe 
auf einem Monitor MON sichtbar und/oder auf einem Drucker PRT 
ausgegeben. Eine Eingabe erfolgt uber eine Maus MAS Oder eine 

15 Tastatur TAST. Auch verfugt die Prozessoreinheit PRZE uber 
einen Datenbus BUS, der die Verbindung von einem Speicher 
MEM, dem Prozessor CPU und der Input /Output-Schnittstelle IOS 
gewahrleistet . Weiterhin sind an den Datenbus BUS zusatzliche 
Komponenten anschliefibar , z.B. zusatzlicher Speicher, 

20 Datenspeicher (Festplatte) oder Scanner. 



4 
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Patentanspruche 

1. Verfahren zur Authentif ikation, 

a) bei dem von einer erstpn Tncf= n , 

a . ersten Instanz eme erste Operation 

A(x,g) auf einem vorgegebenen bekannten Wert g und 
exnem nur der ersten Instanz bekannten Wert x 
durchgefuhrt ward; 

b) bei dem das Ergebnis der ersten Operation mit einem 
der ersten und einer zweiten Instanz bekannten ersten 
Schlussel verschltisselt wird; 

O bei dem das mit dem ersten Schlussel verschlusselte 
Ergebnis der ersten Operation von der ersten Instanz 
zu der zweiten Instanz ubermittelt wird; 

d) bei dem von der zweiten Instanz mit dem'ersten 
Schlussel das Ergebnis der ersten Operation 
entschlusselt wird und somit die erste Instanz 
authentif iziert wird. 

• Verfahren nach Anspruch 1, 

bei dem die erste Operation A(x,g) ein asymmetrisches 
Kryptoverfahren ist. 

• Verfahren nach Anspruch 1 oder 2, 
bei dem die erste Operation A(g,x) 

a) eine Dif f ie-Hellman-Funktion G(g*, ist , wobei G() eine 
belxebige, endliche zyklische Gruppe G ist • 

b) eine RSA-Funktion x 9 ist. 

Verfahren nach einem der vorhergehenden Anspruche 
hex dem die erste Operation auf einer Gruppe G 

c^ruppen ist: 

a) eine multiplikative Gruppe F* eines endlichen 
Korpers F q , insbesondere mit 

o einer multiplikativen Gruppe Zp der ganzen 
Zahlen modulo einer vorgegebenen Primzahl p; 
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o einer multiplikativen Gruppe F^ mit t = 2™ uber 
einem endlichen Korper Ft der Charakteristik 2; 
o einer Gruppe der Einheiten Z^ mit n als einer 
zusammengesetzten ganzen Zahl; 
5 b) eine Gruppe von Punkten auf einer elliptischen Kurve 

uber einem endlichen Korper; 
c) eine Jacobivariante einer hyperelliptischen Kurve uber 
einem endlichen Korper. 

10 5. Verfahren nach einem der vorhergehenden Anspriiche, 

bei dem das Ergebnis der ersten Operation ein zweiter 
Schlussel ist, mit dem die erste Instanz zur Wahrnehmung 
eines Dienstes auf der zweiten Instanz autorisiert wird. 

15 6. Verfahren nach dem vorhergehenden Anspruch, 

bei dem der zweite Schlussel ein Sessionkey oder eine an 
eine Applikation gebundene Berechtigung ist. 

7. Verfahren nach einem der Anspriiche 5 oder 6, 
20 bei dem der zweite Schlussel bestimmt wird zu 

G(g xy ), 

indem von der zweiten Instanz eine zweite Operation G(g y ) 
25 mit einer nur ihr bekannten geheimen Zahl y durchgef uhrt , 

das Ergebnis dieser zweiten Operation mit dem ersten 
Schlussel verschlusselt und an die erste Instanz 
ubermittelt wird. 

30 8. Verfahren nach einem der vorhergehenden Anspriiche, 

bei dem zur Erzeugung des zweiten Schliissels das Diffie- 
Hellman-Verf ahren eingesetzt wird. 

9. Verfahren nach einem der vorhergehenden Anspriiche, 
35 bei dem die Verschlusselung mit dem ersten Schlussel 

anhand einer Einwegf unktion, insbesondere einer 
kryptographischen Einwegf unktion, durchgefuhrt wird. 
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10. Verfahren nach einem der Anspriiche 1 bis 6, 

bei dem die Verschliisselung mit dem ersten ' Schlussel 
anhand eines symmetrischen Verschliisselungsverf ahrens 
durchgefuhrt wird. 

11. Verfahren nach einem der vorhergehenden Anspriiche, 

bei dem die iibermittelten Daten vertrauliche Daten sind. 



12. Anordnung zur Authentif ikation, 

bei der eine Prozessoreinheit vorgesehen ist, die derart 
eingerichtet ist, dafl 

a) von einer ersten Instanz eine erste Operation A(x,g) 
auf einem vorgegebenen bekannten Wert g und einem' nur 
der ersten Instanz bekannten Wert x durchfuhrbar ist; 

b) bei dem das Ergebnis der ersten Operation mit einem 
der ersten und einer zweiten Instanz bekannten ersten 
Schlussel verschliisselbar ist; 

c) bei dem das mit dem ersten Schlussel verschlusselte 
Ergebnis der ersten Operation von der ersten Instanz 
zu der zweiten Instanz iibermittelbar ist; 

d) bei dem von der zweiten Instanz mit dem ersten 
Schlussel das Ergebnis der ersten Operation 
entschlusselt wird und somit die erste Instanz 
authentif izierbar ist. 
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